Hoe wachtwoordloos inloggen werkt — één code voor login + WhatsApp-verificatie

WALLAWHATS gebruikt één 6-cijferige code voor zowel inloggen als WhatsApp-verificatie. Dit is de flow, waarom het veilig is, en hoe het zich verhoudt tot wachtwoordauthenticatie.

Nacho Colldoor Bijgewerkt: 11 min leestijd
WALLAWHATS gebruikt één 6-cijferige code voor zowel inloggen als WhatsApp-verificatie. Dit is de flow, waarom het veilig is, en hoe het zich verhoudt tot wachtwoordauthenticatie.

Elk wachtwoord dat je ooit hebt aangemaakt is een klein risico dat ergens in een database ligt te wachten — bij jou of bij een ander. Hergebruikte wachtwoorden, zwakke wachtwoorden, gephishte wachtwoorden: de meeste account-overnames beginnen nog steeds met een inloggegeven, niet met een zero-day. WALLAWHATS omzeilt die hele categorie door simpelweg geen wachtwoorden te gebruiken. Inloggen en WhatsApp-verificatie verlopen via hetzelfde mechanisme: één 6-cijferige code die naar een bestemming wordt gestuurd die jij zelf beheert.

Dat is niet zomaar een UX-trucje. Het betekent dat je op het moment dat je een account aanmaakt, ook meteen hebt bewezen dat je eigenaar bent van het telefoonnummer of de inbox waar meldingen over X (Twitter)-posts seconden later binnenkomen.

Sign-in screen with email entry for the passwordless OTP flow

Wat “wachtwoordloos” hier precies betekent

Wachtwoordloze authenticatie is geen nieuw idee — banken gebruiken al jaren sms-codes, en de meeste wachtwoordmanagers duwen je tegenwoordig richting magic links. Wat anders is aan de implementatie van WALLAWHATS, is dat dezelfde eenmalige code waarmee je inlogt ook meteen de bestemming verifieert die je meldingen zal ontvangen. Er is geen aparte “bevestig je telefoonnummer”-stap die ergens in de instellingen verstopt zit na het aanmelden. Eigenaarschap en bezorgklaarheid worden in één beweging vastgesteld.

Concreet:

  1. Je voert een e-mailadres of een WhatsApp-nummer in op het inlogscherm.
  2. WALLAWHATS genereert een 6-cijferige numerieke code en stuurt die naar die bestemming.
  3. Je typt de code binnen een korte geldigheidsperiode terug in de app.
  4. Bij succes ben je ingelogd — en als de bestemming een telefoonnummer was, is dat nu een geverifieerd kanaal dat klaar is om meldingen te ontvangen.

Geen wachtwoord om te kiezen, te onthouden, te wijzigen of te lekken. Geen “wachtwoord vergeten”-flow, want er was nooit een wachtwoord om te vergeten.

De mechanica: Cognito Custom Auth, geen los OTP-library-tje erbovenop

Onder de motorkap draait dit op de Custom Authentication-flow van AWS Cognito — geen OTP-add-on van derden bovenop een traditionele username/password-pool. Drie Lambda-triggers werken samen om dit mogelijk te maken:

  • PreSignUp bevestigt nieuwe gebruikers automatisch de eerste keer dat ze inloggen met een bestemming die nog niet eerder is gezien. Er is geen apart “account aanmaken”-formulier; inloggen met een nieuw e-mailadres of nummer is het aanmaken van een account.
  • CreateAuthChallenge genereert de 6-cijferige code, slaat die server-side op met een korte TTL, en verstuurt hem naar de bestemming — via WhatsApp als je een telefoonnummer hebt ingevoerd, anders via e-mail.
  • VerifyAuthChallengeResponse vergelijkt de code die je hebt getypt met de uitgegeven code, wijst verlopen of niet-overeenkomende pogingen af, en beperkt het aantal nieuwe pogingen (rate limiting).

Omdat dit allemaal binnen de beheerde auth-statemachine van Cognito draait, gelden de standaardgaranties: tokens zijn kortlevend, refresh-flows worden afgehandeld door dezelfde infrastructuur die de rest van het platform beveiligt, en er is geen zelfgeschreven sessietoken-code die je moet controleren op de gebruikelijke bugs (voorspelbare ID’s, onvoldoende entropie, ontbrekende verlooptijd-checks) waar zelfgebouwde “stuur ze gewoon een code per e-mail”-implementaties vaak aan lijden.

Waarom dezelfde code twee taken dekt

De meeste diensten behandelen “bewijs wie je bent” en “bewijs dat je hier berichten kunt ontvangen” als twee losse stappen — meld je aan met een wachtwoord, en verifieer daarna apart je telefoonnummer voor meldingen. WALLAWHATS voegt ze samen, want voor een alertproduct is dat dezelfde vraag die twee keer wordt gesteld.

Als WALLAWHATS een WhatsApp-bericht naar een nummer gaat afleveren, moet het twee dingen weten: dat het nummer echt en bereikbaar is, en dat de persoon die inlogt er daadwerkelijk controle over heeft. Een 6-cijferige code die naar precies dat nummer wordt gestuurd en correct wordt teruggetypt, beantwoordt beide vragen in één keer. Er is geen scenario waarin je “ingelogd” bent terwijl je WhatsApp-bestemming niet geverifieerd is, want het inloggen was de verificatie.

Dezelfde logica geldt voor e-mail. Log in met een e-mailadres, ontvang daar een code, typ hem terug — je bent nu ingelogd, en die inbox is een bevestigde bestemming voor e-mailmeldingen (die, op elk plan, een gerenderde snapshot van elke tweet naast de tekst bevatten).

Waarom dit veiliger is dan het voelt

Wachtwoordloze authenticatie klinkt alsof het minder veilig zou moeten zijn — geen wachtwoord, geen kluis. In de praktijk sluit het juist een aantal van de meest voorkomende manieren af waarop echte accounts worden gecompromitteerd:

  • Geen credential stuffing. Er is geen hergebruikt wachtwoord van een gehackte site dat een aanvaller tegen je WALLAWHATS-login kan proberen, want er is om te beginnen geen wachtwoord te stelen.
  • Geen aanvalsoppervlak via wachtwoordherstel. Een groot deel van de account-overnames verloopt via de “wachtwoord vergeten”-flow — een aanvaller die je inbox controleert, reset overal je wachtwoord. Door wachtwoorden weg te laten, verdwijnt die hele flow.
  • Gebaseerd op bezit, niet op geheugen. De code bewijst dat je op dit moment toegang hebt tot de telefoon of inbox, niet dat je maanden geleden een geheim hebt onthouden (of opgeschreven, of hergebruikt).
  • Kortlevend en eenmalig bruikbaar. Codes verlopen snel en worden ongeldig na één succesvol gebruik, in tegenstelling tot een wachtwoord dat geldig blijft totdat je het handmatig wijzigt.

Het compromis is dat WhatsApp- of e-mailbezorging onderdeel wordt van je kritieke inlogpad — als je toegang tot beide verliest, volgt accountherstel hetzelfde model van geverifieerde bestemmingen, in plaats van een “beveiligingsvragen”-fallback die historisch gezien de zwakste schakel is geweest in wachtwoordgebaseerde systemen.

Hoe dit zich verhoudt tot traditioneel wachtwoord + aparte OTP-verificatie

Een conventionele flow ziet er zo uit: kies een wachtwoord, bevestig je e-mail via een aparte link, en ga later naar de instellingen om een telefoonnummer te verifiëren voor sms- of pushmeldingen. Dat zijn drie aparte bewijspunten, drie aparte plekken waar iets kan verouderen — een ongeverifieerd telefoonnummer dat wekenlang in het account blijft staan, een wachtwoord dat identiek is aan dat van vier andere diensten, een e-mailbevestigingslink die verlopen was voordat iemand erop klikte.

WALLAWHATS reduceert dat tot één bewijspunt per bestemming. Voeg een WhatsApp-nummer toe, en de code die je ontvangt om het te verifiëren is dezelfde code die je vanaf dat moment op dat apparaat inlogt. Er is geen ongeverifieerde status die kan blijven hangen, want het account en de bestemming bereiken “geverifieerd” samen.

Dit betekent ook dat een bestemming wisselen of toevoegen gewoon… inloggen met een nieuwe is. Wil je een tweede geverifieerd nummer toevoegen onder een Business- of Enterprise-plan? Voer het in, ontvang de code, bevestig hem. Geen apart “telefoonnummer toevoegen”-formulier dat drie menu’s diep verstopt zit.

Zo stel je het in: wat je daadwerkelijk te zien krijgt

Op wallawhats.com/signup wordt je maar één ding gevraagd: een e-mailadres of een WhatsApp-nummer. Dat is het hele formulier.

  • Voer een WhatsApp-nummer in, en de code komt binnen seconden binnen als WhatsApp-bericht — hetzelfde kanaal dat later je X-meldingen zal bezorgen.
  • Voer een e-mailadres in, en de code komt in je inbox terecht — handig als je wilt inloggen vanaf een gedeeld of werkapparaat zonder je persoonlijke WhatsApp aan te raken, of als je e-mail instelt als je meldingskanaal.

Hoe dan ook krijg je een scherm waar om de 6-cijferige code wordt gevraagd, typ je die in, en sta je op het dashboard. Van daaruit kun je op elk moment een tweede kanaal toevoegen (bijvoorbeeld een WhatsApp-nummer nadat je je met e-mail hebt aangemeld, of andersom) via de Channels-pagina — elke nieuwe bestemming doorloopt dezelfde eenmalige-code-verificatie voordat die meldingen kan ontvangen. Twijfel je welk type WhatsApp-nummer je hiervoor moet gebruiken? Onze gids Business vs Personal-nummer zet de afwegingen op een rij.

Er is geen accountinstelling waar een telefoonnummer “toegevoegd maar niet geverifieerd” blijft staan. Elke bestemming heeft ofwel zijn eigen codechallenge doorlopen, ofwel is niet aan je account gekoppeld.

Een kanttekening: wat dit niet is

Om precies te zijn over het beveiligingsmodel: dit is eenmalige-code-authenticatie via kanalen die je al vertrouwt (WhatsApp, e-mail), niet multifactor-authenticatie in de traditionele zin van “wachtwoord plus een tweede factor.” Er zit een betekenisvol verschil tussen. Traditionele MFA voegt een tweede, onafhankelijke bewijslaag toe bovenop een wachtwoord. Het model van WALLAWHATS vervangt het wachtwoord door bezit van een communicatiekanaal — dat is een andere risicoafweging, niet per se in elk opzicht sterker. Het is de juiste afweging voor een meldingendienst, waar het hele punt is dat je sowieso al een geverifieerde bestemming nodig hebt om het product te kunnen gebruiken; die verificatiestap hergebruiken voor het inloggen verwijdert wrijving zonder een betekenisvolle beveiligingslaag weg te nemen, aangezien er om te beginnen geen wachtwoordlaag was.

Twijfel je tussen kanalen voor zowel inloggen als meldingen? Onze vergelijking e-mail vs WhatsApp behandelt bezorgsnelheid en leespercentages die net zo goed gelden voor inlogcodes — een WhatsApp-code merk je binnen seconden op; een e-mailcode moet concurreren met de rest van je inbox.

Waarom dit specifiek belangrijk is voor een alertproduct

Voor een product waarvan de hele taak is “betrouwbaar een bericht bezorgen op een bestemming die jij hebt gekozen,” mogen identiteit en bestemming niet uit elkaar drijven. Als inloggen en kanaalverificatie aparte systemen waren, zou je kunnen inloggen op een account waarvan het WhatsApp-nummer jaren geleden is toegevoegd, mogelijk sindsdien door de provider aan iemand anders is toegewezen, en nooit opnieuw bevestigd is. Door het inloggen te koppelen aan een verse code die naar de bestemming zelf wordt gestuurd, bestaat dat risico per constructie niet — je kunt niet inloggen via een kanaal dat op dit moment niet bereikbaar is, want bereikbaarheid is precies wat je hebt ingelogd.

Het betekent ook dat accountherstel in de meeste gevallen geen supportticket vereist. Ben je je telefoon kwijt? Log dan in met je e-mail — dezelfde flow, dezelfde eenmalige code, en je WhatsApp-bestemming (zodra je die opnieuw verifieert op een nieuw apparaat) gaat precies verder waar hij was gebleven.

Wat er gebeurt als een code niet aankomt

Elk systeem dat de bezorging uit handen geeft aan een netwerk van derden — een provider, de eigen infrastructuur van WhatsApp, een e-mailprovider — moet er rekening mee houden dat de code niet direct verschijnt. Een paar praktische punten over hoe dit wordt aangepakt:

  • De geldigheidsduur is kort, en dat is bewust. Een code die uren geldig is, is een groter doelwit dan een code die minuten geldig is. Als de jouwe verloopt voordat je hem invoert, maakt een nieuwe aanvraag de oude code direct ongeldig.
  • Opnieuw versturen, niet opnieuw typen. Als een WhatsApp-bericht een paar seconden vertraging heeft (normaal tijdens piekmomenten) of een e-mail in de spamfolder belandt, biedt het inlogscherm een optie om de code opnieuw te versturen, in plaats van je onbeperkt te laten wachten op de eerste poging.
  • Rate limiting beschermt beide kanten. Herhaalde code-aanvragen naar dezelfde bestemming worden afgeremd. Dit is niet alleen een anti-misbruikmaatregel voor WALLAWHATS — het voorkomt ook dat één account per ongeluk de bezorgsystemen van WhatsApp of een e-mailprovider overbelast als er stroomopwaarts iets agressief opnieuw wordt geprobeerd.
  • Wissel van kanaal als er een onbereikbaar is. Heeft je telefoon geen bereik maar zit je achter je laptop, log dan in met e-mail — dat is een volledig onafhankelijk pad naar hetzelfde account, geen fallback die pas werkt nadat de WhatsApp-poging eerst is mislukt.

Niets hiervan is uniek voor WALLAWHATS; het is dezelfde operationele realiteit waar elk OTP-gebaseerd systeem rekening mee moet houden. Het verschil is dat, omdat de code ook je kanaalverificatie is, een geslaagde login je vertelt dat je meldingsbestemming op dit moment actief is — iets wat een wachtwoord nooit kon.

Veelgestelde vragen

Kan ik zowel WhatsApp als e-mail gebruiken om in te loggen? Ja. Elk kanaal wordt onafhankelijk geverifieerd de eerste keer dat je het gebruikt, en daarna kom je met beide in hetzelfde account.

Maakt een nieuwe code mijn WhatsApp-kanaal ongeldig als ik het inloggen niet afmaak? Nee. Een onvoltooide of verlopen inlogpoging heeft geen invloed op een al geverifieerd kanaal — het speelt alleen een rol bij het voor de eerste keer verifiëren van een nieuwe bestemming.

Wat als ik later mijn telefoonnummer wil wijzigen? Voeg het nieuwe nummer toe als kanaal via de Channels-pagina; het doorloopt zijn eigen eenmalige code voordat het meldingen kan ontvangen. Je oude nummer blijft intact totdat je het verwijdert.

Is dit hetzelfde als sms-gebaseerde tweefactorauthenticatie? Niet helemaal. Traditionele sms-2FA is een tweede factor bovenop een wachtwoord. Hier is de code het volledige authenticatiemechanisme — er is geen wachtwoord eronder waar een tweede factor aan wordt toegevoegd.

Aan de slag

Wachtwoordloos inloggen is geen aparte functie die je moet instellen — het is simpelweg hoe inloggen bij WALLAWHATS werkt, op elk plan vanaf Free. Heb je nog geen meldingen ingesteld? De stappen in onze beginnersgids beschrijven het hele pad, van je eerste keer inloggen tot je eerste WhatsApp-melding.

Mis nooit meer een belangrijke post. Maak een gratis account aan — 1 WhatsApp-nummer, realtime meldingen, geen creditcard nodig.

Nacho Coll

Over de auteur

Founder & Engineer at WallaWhats

Nacho founded WallaWhats so you get the alerts that matter without depending on X's algorithm to surface them — pick the accounts you care about and get a WhatsApp for every post the moment it goes live, in order, nothing throttled or buried. Writes about real-time notification systems, social-signal monitoring, and serverless delivery pipelines from the operator side of the wire.

Terug naar Blog

Gerelateerde Artikelen

Alle Artikelen Bekijken »